罰金だけでは済まない？【EU法規制】甘く見る経営者が陥る深刻なサイバーリスク､｢CRA｣｢NIS2指令｣への対応が進む企業と遅れている企業の差

近年、ランサムウェア攻撃によって、企業のシステムが停止し、注文や配送などの業務が滞る事例が相次いでいますが、サイバー攻撃はもはやIT部門だけの問題ではありません。国内外問わず、製造業やIoT機器を含むOT（Operational Technology）領域にも広がり、操業停止やサプライチェーンの混乱など深刻な事業リスクを招いています。

こうした背景から、EUではサイバーセキュリティ規制の整備が急速に進んでいます。とくに注目すべきは、製品のセキュリティ確保を義務づける「サイバーレジリエンス法（Cyber Resilience Act 、以下CRA）」と、組織全体のセキュリティ体制強化を求める「NIS2指令（Network and Information Systems Directive 2）」です。

これらは、EU市場に製品やサービスを提供する企業だけでなく、今後グローバル基準として広がる可能性が高く、日本企業にとっても対応は避けられません。

CRAやNIS2指令への対応は、単なる法令遵守にとどまらず、企業の信頼性・国際競争力・持続可能性を左右する重要な経営テーマとなっています。つまり、適切な対応を取らなければ事業運営に影響を及ぼす可能性があるといえます。

やるべきことが多岐にわたる｢CRA｣

CRAは、EU市場で販売されるデジタル要素を含む製品に対し、設計段階からセキュリティを組み込むことを義務づける法律で、2027年12月に全面適用が予定されています。

対象製品は以下のように、IoT機器、産業用制御装置、ソフトウェアなど多岐にわたります。

【対象製品の範囲】

ハードウェア製品：ノートPC、スマート家電、スマートフォン、ネットワーク機器、CPUなど

ソフトウェア製品：OS、ワープロ、ゲーム、モバイルアプリ、ソフトウェアライブラリなど

クラウド連携型製品：リモートデータ処理を含むもの